none
RADIUS без сертификата RRS feed

  • Вопрос

  • Подскажите как настроить RADIUS на Win2008R2, что бы он авторизовался через логин/пароль AD, но не просил сертификат.

    ЗЫ: не предлагать выключать у пользователей в настройках сети (пользователей много)

    так же есть мобильные пользователи, например Android (устанавливать им сертификат НЕ ПРЕДЛАГАТЬ)

    Я так понимаю можно настроить не pEAP, а Mschap2 - вот только вопрос - КАК? Ткните в мануал

    25 сентября 2012 г. 15:07

Ответы

  • радиус как то так

    на контроллере точек  все стандартно: WPA2, AES, 802.1x. radius сервера прописаны с параметрами по умолчанию

    на машинах wifi настроен политикой, причем аутентифицируется учетка компьютера а не пользователя.


    26 сентября 2012 г. 14:36
    Модератор

Все ответы

  • В Server Manager переходите в узел Roles/Network Policy and Access/NPS(Local)/Policies/Network Policies выбираете нужную политику, заходите в ее свойства и на вкладке Constraints устанавливаете желательные методы аутентификации.

    PS Для WPA/WPA2 в сетях WiFi  такой вариант не годится - для него MSCHAP v2 не предусмотрен.

    PPS MSCHAP v2 по нынешним временам уже недостаточно стоек (см. http://techvangelist.net/node/26 )


    Слава России!

    25 сентября 2012 г. 15:42
  • у меня сейчас mschap v2 стоит на wifi через radius.

    26 сентября 2012 г. 8:43
    Модератор
  • Расскажи какие настройки у точки?

    это настройки моего RADIUS server

    26 сентября 2012 г. 9:20
  • радиус как то так

    на контроллере точек  все стандартно: WPA2, AES, 802.1x. radius сервера прописаны с параметрами по умолчанию

    на машинах wifi настроен политикой, причем аутентифицируется учетка компьютера а не пользователя.


    26 сентября 2012 г. 14:36
    Модератор
  • А android/iOS или не доменные машины при первом подключении к WiFi сертификат требуют? или только логин/пароль?
    26 сентября 2012 г. 14:40
  • вообще эта сеть настроена на принятие только доменных машин, причем под учеткой машины - в группе которой радиус разрешает подключаться только учетки компов, то есть если доменный юзер попробует подключиться под своей учеткой то его не пустят. но когда в группу в порядке исключения добавляли юзеров то они без проблем подключали свои богомерзкие маки под своей доменной учеткой без всяких сертификатов.

    26 сентября 2012 г. 20:35
    Модератор